제어 시스템 보안

Control system security

산업용 제어 시스템(ICS) 사이버 보안은 산업용 자동화 및 제어 시스템의 적절한 작동에 대한 (의도적 또는 의도하지 않은) 간섭을 방지하는 것입니다.이러한 제어 시스템은 전기, 석유 생산, 물, 운송, 제조 및 통신을 포함한 필수 서비스를 관리합니다.이들은 컴퓨터, 네트워크, 운영 체제, 응용 프로그램 및 프로그램 가능한 컨트롤러에 의존하며, 이들 컨트롤러에는 각각 보안 취약성이 포함될 수 있습니다.2010년 Stuxnet 웜의 발견은 이들 시스템이 사이버 사고에 [1]취약함을 증명했습니다.미국과 다른 정부는 중요한 인프라를 운영하는 제어 시스템의 보호를 강화하는 사이버 보안 규정을 통과시켰습니다.

제어 시스템 보안은 SCADA 보안, PCN 보안, 산업 네트워크 보안, 산업 제어 시스템(ICS) 사이버 보안, 운영 기술(OT) 보안 및 제어 시스템 사이버 보안과 같은 여러 다른 이름으로 알려져 있습니다.

리스크

산업자동화제어시스템(IACS)에 내재된 불안정성 또는 취약성으로 인해 안전, 인명피해, 인명피해, 환경영향, 생산손실, 기기손상, 정보절도, 기업이미지 등의 카테고리에 중대한 결과가 초래될 수 있습니다.이러한 잠재적 위험을 평가, 평가 및 완화하기 위한 지침은 다음과 같은 많은 정부, 규제, 업계 문서 및 글로벌 표준을 통해 제공됩니다.

제어 시스템의 취약성

산업 자동화 및 제어 시스템은 지난 10~15년 동안 다음과 같은 추세로 인해 보안 사고에 훨씬 더 취약해졌습니다.

  • 상용 기성품 기술(COTS) 및 프로토콜의 대량 사용.MS Windows, SQL, Ethernet 등의 테크놀로지를 통합하면 프로세스 제어 시스템이 IT 시스템에 영향을 미치는 동일한 바이러스, 웜 및 트로이 목마에도 취약해집니다.
  • 엔터프라이즈 통합(플랜트, 기업 및 퍼블릭 네트워크 사용)은 프로세스 제어 시스템(레거시)이 설계되지 않은 스트레스를 받고 있음을 의미합니다.
  • 리모트 액세스에 대한 수요 - 엔지니어링, 운용 또는 기술 지원을 위한 24시간365일 액세스를 통해 시스템 제어에 대한 보안 또는 부정 접속이 강화됩니다.
  • 무명화를 통한 보안 - 공개되지 않은 프로토콜 또는 표준을 사용하면 시스템 보안에 악영향을 미칩니다.

자동화 시스템에 대한 사이버 위협과 공격 전략은 빠르게 변화하고 있습니다.다행히 규제가 더디게 진행되는 과정이기 때문에 제어 시스템 보안에 대한 규제는 드물다.예를 들어 미국은 원자력화학 [2]산업에 대해서만 그렇게 한다.

정부의 노력

미국 정부 컴퓨터 긴급대응팀(US-CERT)은 원래 제어시스템 보안 프로그램(CSSP)을 도입하여 NCCIC(National Cybersecurity and Communications Integration Center) 산업제어시스템(NCCIC)을 대규모로 제공하고 있습니다.제어 시스템 [3]보안에 관한 것입니다.MOSIACS(More Situational Awareness for Industrial Control Systems)로 알려진 미국 정부 합동 기술 시연(JCTD)은 중요한 인프라 제어 시스템에 [4]대한 사이버 보안 방어 능력을 최초로 시연하는 것입니다.MOSAICS는 전력, 물, 폐수 등의 사이버 공격으로부터 중요한 인프라 제어 시스템을 방어하고 물리적 [5]환경에 영향을 미치는 안전 제어에 대한 국방부(DOD)의 운영상의 요구에 대응하고 있습니다.MOSAICS JCTD 프로토타입은 향후 연구개발을 위해 산업일(Industry Days)을 통해 상업산업과 공유될 예정입니다.이 접근방식은 중요한 [6]인프라 제어 시스템의 사이버 보안을 위한 혁신적이고 판도를 바꾸는 기능을 제공하기 위한 것입니다.

산업용 사이버 보안 표준

산업 자동화의 사이버 보안에 대한 국제 표준은 IEC 62443이다.또한 미국의 NIST 및 NERC와 같은 여러 국가 조직은 제어 시스템의 사이버 보안에 대한 지침과 요구사항을 발표했다.

IEC 62443

주요 기사: IEC 62443

IEC 62443 사이버 보안 표준은 산업 자동화 및 제어 시스템(IACS)에 대한 프로세스, 기법 및 요건을 정의한다.이 문서는 관련된 모든 국가 위원회가 공통 표준에 동의하는 IEC 표준 작성 과정의 결과물이다.IEC 62443은 ANSI/ISA-99 시리즈의 표준과 VDI/VDE 2182 가이드라인의 영향을 받아 부분적으로 이에 기초하고 있습니다.

The numbering and organization of IEC 62443 work products into categories.
IEC 62443의 IACS 보안 관련 작업 제품 계획 및 공개.

모든 IEC 62443 표준 및 기술 보고서는 일반, 정책절차, 시스템구성 요소라고 불리는 네 가지 일반 범주로 구성된다.

  1. 첫 번째 카테고리에는 개념, 모델, 용어 등의 기초 정보가 포함됩니다.
  2. 작업 생산물의 두 번째 범주는 자산 소유자를 대상으로 합니다.여기에서는 효과적인 IACS 보안 프로그램의 작성 및 유지보수에 관한 다양한 측면에 대해 설명합니다.
  3. 세 번째 범주는 제어 시스템의 안전한 통합을 위한 시스템 설계 지침 및 요건을 설명하는 작업 산출물을 포함한다.이 중 핵심은 구역 및 도관 설계 모델입니다.
  4. 네 번째 범주는 제어 시스템 제품의 특정 제품 개발 및 기술 요건을 설명하는 작업 제품을 포함한다.

NERC

가장 널리 알려진 현대 NERC 보안 표준은 NERC 1200의 수정/업데이트인 NERC 1300입니다.NERC 1300의 최신 버전은 CIP-002-3에서 CIP-009-3으로 불리며 CIP는 Critical Infrastructure Protection을 의미합니다.이러한 표준은 NERC가 다른 영역 내에 표준을 만들었지만 벌크 전기 시스템을 보호하기 위해 사용됩니다.벌크 전기 시스템 규격은 업계 베스트 프랙티스 프로세스를 지원하면서 네트워크 보안 관리도 제공합니다.

NIST

주요 기사:미국 국립표준기술원

NIST Cyber Security Framework(NIST CSF)는 사이버 보안 결과의 높은 수준의 분류 체계와 그러한 결과를 평가하고 관리하기 위한 방법론을 제공한다.이는 중요한 인프라스트럭처를 제공하는 민간 섹터 조직에 [7]보호 방법에 대한 지침을 제공하기 위한 것입니다.

NIST 특별 간행물 800-82 개정판 2 "산업 제어 시스템(ICS) 보안 지침"은 [8]ICS 고유의 성능, 신뢰성 및 안전 요건을 고려하면서 사이버 공격으로부터 여러 유형의 산업 제어 시스템을 보호하는 방법을 설명한다.

제어 시스템 보안 인증

주요 기사: IEC 62443

제어 시스템 보안에 대한 인증은 여러 글로벌 인증 기관에 의해 확립되었습니다.대부분의 계획은 IEC 62443에 기초하고 있으며 시험 방법, 감시 감사 정책, 공개 문서 정책 및 프로그램의 기타 특정 측면을 설명한다.

외부 링크

레퍼런스

  1. ^ Byres, Eric; Cusimano, John (February 2012). "The 7 Steps to ICS Security". Tofino Security and exida Consulting LLC. Archived from the original on January 23, 2013. Retrieved March 3, 2011.
  2. ^ Gross, Michael Joseph (2011-04-01). "A Declaration of Cyber-War". Vanity Fair. Condé Nast. Archived from the original on 2014-07-13. Retrieved 2017-11-29.
  3. ^ "Standards and References - NCCIC / ICS-CERT". ics-cert.us-cert.gov/. Archived from the original on 2010-10-26. Retrieved 2010-10-27.
  4. ^ "More Situational Awareness For Industrial Control Systems (MOSAICS) Joint Capability Technology Demonstration (JCTD): A Concept Development for the Defense of Mission Critical Infrastructure – HDIAC". Retrieved 2021-07-31.
  5. ^ "More Situational Awareness for Industrial Control Systems (MOSAICS): Engineering and Development of a Critical Infrastructure Cyber Defense Capability for Highly Context-Sensitive Dynamic Classes: Part 1 – Engineering – HDIAC". Retrieved 2021-07-31.
  6. ^ "More Situational Awareness for Industrial Control Systems (MOSAICS): Engineering and Development of a Critical Infrastructure Cyber Defense Capability for Highly Context-Sensitive Dynamic Classes: Part 2 – Development – HDIAC". Retrieved 2021-07-31.
  7. ^ "NIST Cybersecurity Framework". Retrieved 2016-08-02.
  8. ^ Stouffer, Keith; Lightman, Suzanne; Pillitteri, Victoria; Abrams, Marshall; Hahn, Adam (2015-06-03). "Guide to Industrial Control Systems (ICS) Security". CSRC NIST. doi:10.6028/NIST.SP.800-82r2. Retrieved 2020-12-29.